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Die Wahl des maßgeschneiderten Systems 


Aus rechtlicher und wirtschaftlicher Sicht ist die 
Bereitstellung von Sicherheitsdiensten für ein 
Unternehmen nahezu zwingend. Doch bei der Wahl 
eines Rundum-Sorglos-Pakets wie Unified Threat 
Management (UTM) sollten Betriebe sich genau 
überlegen, welche Dienste sie wirklich benötigen. 


nter dem Namen Unified 

Threat Management 
(UTM) haben sich Rundum- 
Sorglos-Sicherheitspakete eta- 
bliert. Dies gilt zumindest für 
den Bereich, der das interne 
Netz von der Außenwelt oder 
auch zwei Netze voneinander 
trennt. Ursprünglich beschrieb 
diese Gattung lediglich ein Pro- 
dukt, das Firewalls, IDS/IPS (In- 
trusion Detection System, Intru- 
sion Prevention System) und 
Anti-Virus in einer Lösung ver- 
einte. In der Zwischenzeit gibt 
es kaum noch einen Anbieter, 
der sich auf diese Minimalanfor- 
derungen beschränkt. Je nach 
Hersteller gelangten weitere 
Funktionen in die jeweiligen Ap- 
pliances, von Virtual Private Net- 
works (VPNs) über URL- und 
Content-Filtering-Funktionen, 
die Absicherung von Social- 
Networking-Plattformen bis zur 
Sicherstellung von Quality-of- 
Service- Anforderungen im 
Voice-over-IP-Bereich. 

Leider gilt die Definition von 
UTM nicht mehr für die heuti- 
gen Gegebenheiten. So kocht 
mittlerweile jeder Hersteller 
sein eigenes UTM-Süppchen 
mit verschiedenen Zutaten, 
was einen Vergleich zwischen 


den einzelnen Produkten deut- 
lich erschwert, da sie mit 
unterschiedlichen Diensten 
ausgestattet sind. 
Unternehmen sollten sich 
daher die Frage stellen, welche 
Dienste zum Schutz der Orga- 
nisation wirklich unbedingt 
erforderlich sind. Selbstver- 
ständlich hat hier jeder Sicher- 
heitsexperte und natürlich der 
jeweilige Produkthersteller eine 
eigene Meinung. Allerdings 
existieren einige rechtliche und 
auch wirtschaftliche Aspekte, 
die die Bereitstellung von be- 
stimmten Sicherheitsdiensten 
für ein Unternehmen fast schon 
zwingend erforderlich machen. 
Dass hierbei eine Firewall als 
zentrales Ein- und Ausgangstor 
in angrenzende Netze als ab- 
solut notwendig gilt, dürfte 
wohl niemanden verwundern. 
Vor dem Kauf eines UTM- 
Produkts sollten sich die Verant- 
wortlichen überlegen, ob eine 
einfache Firewall ausreicht, die 
ein- und ausgehende Daten- 
pakete mithilfe der sogenannten 
Stateful Inspection überprüft, 
oder ob der Einsatz von Proxies 
für dedizierte Protokolle sinnvol- 
ler ist. So haben etliche Herstel- 
ler in ihre UTM-Firewalls Pro- 
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xies für SIP, H323, NetBIOS, 
VNG (Virtual Network Compu- 
ting), RTP (Realtime Transport 
Protocol), DNS (Domain Name 
System) und so weiter integriert. 
Ebenso zwingend notwendig 
wie eine Firewall ist die Installa- 
tion eines Anti-Virus-Gateways 
für die Überprüfung ein- und 
ausgehender Datenströme. So 
werden die eigenen Daten vor 
entsprechenden Schädlingen 
und dadurch vor einem eventu- 
ellen Vernichten, Verändern oder 
Ausspähen geschützt. Darüber 
hinaus lässt sich so das Risiko 
reduzieren, selbst Viren zu ver- 
breiten. Trägt das eigene Unter- 
nehmen an der Verbreitung von 
Viren eine Mit- oder gar Haupt- 
schuld und haben andere da- 
durch einen Schaden erlitten 
(etwa einen Datenverlust), so 
kann es durchaus dazu kommen, 
dass der Haftungsfall eintritt. 
Sind innerhalb des Unter- 
nehmens Mitarbeiter oder Aus- 
zubildende beschäftigt, die 
unter 18 Jahre alt sind, so gel- 
ten diese als Schutzbefohlene. 
Der Arbeitgeber muss also 
unter anderem sicherstellen, 
dass diese im Internet nur die 


für sie geeigneten Inhalte ein- 
sehen können. 

Dies versuchen Unterneh- 
men im Allgemeinen mittels 
eines URL- oder Web-Content- 
Filters sicherzustellen. Der freie 
Zugang zum Internet für diesen 
jugendlichen Personenkreis 
könnte ebenfalls rechtliche 
Konsequenzen haben. Abgese- 
hen davon kann der Aufruf von 
bestimmten Internetseiten auch 
für Erwachsene persönlichkeits- 
verletzend sein und sollte schon 
aus diesem Grund unterbunden 
werden. Bei der Auswahl des 
richtigen UTM-Systems sollte 
man deshalb auch diese Anfor- 
derung berücksichtigen. 


Aber dies sind natürlich nicht 
alle Aspekte, die aktuelle UTM- 
Produkte abdecken. Sollen zum 
Beispiel Mitarbeiter von unter- 
wegs oder daheim auf interne 
Daten zugreifen können, ist der 
Aufbau von verschlüsselten Ver- 
bindungen eine zwingende An- 
forderung (VPN-Access-Point). 
Dafür gibt es verschiedene 


Möglichkeiten. Sollen einem 
Nutzer bei einem Zugriff von 
außen lediglich dedizierte An- 
wendungen zur Verfügung ste- 
hen, wäre der Einsatz eines 
SSL-VPNs anzuraten, das ihm 
genau diese Anwendungen über 
eine entsprechende Oberfläche 
zur Verfügung stellt. Soll sich 
der Nutzer bei einem Zugriff von 
außen genau so wie an seinem 
internen Arbeitsplatz fühlen, 
wäre der Einsatz von VPNs via 
IPSec sicherlich eine gute Wahl. 
Dies gilt auch, wenn verschie- 
dene Standorte über das Inter- 
net miteinander verbunden wer- 
den sollen (Site-to-Site VPN). 
Leider bieten nicht alle UTM- 
Appliances beide Möglichkeiten. 
Generell ist natürlich auch 
die Frage wichtig, welche 
Dienste Daten über das UTM- 
System übertragen sollen. 
Hierbei sind vor allem zeitab- 
hängige Anwendungen zu be- 
achten. Voice over IP ist nur ein 
Beispiel eines in dieser Hin- 
sicht kritischen Dienstes. In 
einem solchen Fall sollten Ver- 
antwortliche bei der Auswahl 
eines UTM-Produkts auch prü- 
fen, ob es in der Lage ist, Qua- 


lity-of-Service-Funktionen um- 
zusetzen. Anderenfalls kann es 
passieren, dass bei größeren 
Datentransfers zwischen den 
jeweiligen Endpunkten die Lei- 
tung so stark belegt wird, dass 
ein Telefonat zwischen den 
beiden Standorten nicht mehr 
möglich ist. 

Neben der Fähigkeit der In- 
tegration von Quality-of-Ser- 
vice-Funktionen sind etliche 
der aktuellen UTM-Systeme in 
der Lage, mit Virtual LANS 
(VLANs) umzugehen. Dies kann 
sich insbesondere dann als kri- 
tische Funktion entpuppen, 
wenn das System im internen 
Netz eingesetzt werden soll, 
zum Beispiel zur Abtrennung 
verschiedener interner Teilnet- 
ze. Nahezu jede UTM-Appliance 
besitzt, wie in der ursprüng- 
lichen Definition vorgesehen, 
ein Intrusion-Detection- bezie- 
hungsweise Intrusion-Protec- 
tion-Subsystem. Dies kann, so- 
fern sauber konfiguriert und in- 
tegriert, wichtige Erkenntnisse 
über das Risiko in dem be- 
trachteten Netz liefern. Aller- 
dings ist der Aufwand für die 
Konfiguration eines solchen 
Systems deutlich höher als bei 
den anderen Subsystemen wie 
Firewall oder Anti-Virus. Mit 
einer guten Konfiguration kön- 
nen IT-Fachleute jedoch Kenn- 
zahlen gewinnen, die als Argu- 
mentationshilfen für zukünftige 
Security-Projekte innerhalb des 
Unternehmens dienen können. 

Die relativ große Anzahl von 
UTM-Anbietern hat zu einer 
großen Bandbreite an Einzel- 
systemen geführt. Für nahezu 
jedes Unternehmen ist etwas 
dabei. Günstige kleine Systeme, 
die sich etwa zur Absicherung 
und Anbindung von kleineren 
Außenstellen eignen, sind ge- 
nauso anzutreffen wie teure 
Produkte, die sich gut im Back- 
bone eines größeren Unterneh- 
mens einsetzen lassen. Die Per- 
formance der Systeme hängt 
dabei in einem hohen Maße von 
den aktivierten Diensten ab. 
Dies gilt insbesondere für re- 
chenintensive Bereiche wie die 
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Anzeige 


Achillesferse Web-Applikation 


art of defence, Softwarehersteller aus 
Regensburg, bietet die derzeit umfas- 
sendste Produktpalette im Bereich 

Web Application Security. 
Schwachstellen im Web Source Code 
werden vom Analysetool hypersource 
identifiziert. Dabei werden alle Entry- 
Points der Reihe nach überprüft und 
mittels Data-Flow-Analyse komplett bis 
zum ‘Exit’ verfolgt. So werden alle 
Verwundbarkeiten bis zu ihrer Wurzel 
aufgezeigt. 

Der Web Vulnerability Scan Server 
hyperscan überprüft Websites mit unter- 
schiedlichen Techniken von außen. Ein 


intelligenter Crawl-Mechanismus arbeitet 


sich durch die erreichbaren Links und 


penetriert die Applikation u.a. mit Signa- 


turen aus seiner Datenbank. Einzigartig 
ist hier das Zusammenspiel mit dem 
Source Code Analyzer hypersource: 
Die gefundenen Schwachstellen können 


von hyperscan importiert werden, um die 


Filtermechanismen der Applikation zu 
überprüfen. 

Die Web Application Attack Detection 
übernimmt hyperguard von art of 
defence. Als Plug-In in Webserver und 


viele andere Infrastruktur-Produkte kann 


hyperguard überall verteilt werden. 
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Eine zentrale Managementkonsole bietet 
ausführliches Monitoring, Reporting und 


Alerting sowie aktuelle Statusreports 
über die Applikationssicherheit. 
Zudem ist hyperguard mit einer sehr 
ausgereiften Protection-Funktionalität 
erweiterbar: Damit können u.a. ältere 
Applikationen schr einfach mit einem 
Grundschutz versehen oder komplexe 
Portallösungen in ihrem externen 
Verhalten abgesichert werden. 


Web Vulnerability 
Scan Server 


Security 


| xML 
Report 


' Produktion 


Ein Novum in diesem Bereich ist der 
automatische Regelvorschlag von hyper- 
guard durch den Import von Schwach- 
stellen der Source Code Analyse und von 
aufgedeckten Lücken des Scan Servers. 
Alle Produkte bieten ein ausführliches 
Reporting z.B. nach den bekannten 
OWASP-, CWE- oder PCI-Richtlinien 
und dienen so zum Nachweis der Ein- 
haltung rechtlicher Vorschriften und 


Industrie-Standards. 


Web Source 
Code Analyzer 


Web Application 
Attack Detection 
and Protection 


Zusammenspiel und Einsatz der Produkte 


www.artofdefence.com 


Security 


Verschlüsselung oder den Ein- 
satz von Virenscannern. Da 
keine verbindlichen Vorgaben 
existieren, wie Hersteller die 
Performance ihrer Systeme 
messen sollten, ist ein Vergleich 
der Lösungen anhand der 
nackten Zahlen auf den Daten- 
blättern wenig sinnvoll. Grund- 
sätzlich gilt es zu prüfen, mit 
welchen Daten und mit welchen 
aktivierten Diensten ein solcher 
Test lief, damit wirklich ein Ur- 
teil über die Leistungsfähigkeit 
eines Systems möglich ist. Ob 
die Performance ausreicht, ist 
letzten Endes nur mittels eines 
Tests mit eigenen Testdaten 
herauszufinden. 


Cluster und 
die Performance 


Etliche Hersteller ermöglichen 
es, einzelne Systeme zu Clus- 


tern zusammenzufassen und 
damit die Performance zu erhö- 
hen. Ein nützliches Merkmal, da 
auf diese Weise das Sicherheits- 
paket mit dem Wachstum eines 
Unternehmens Schritt halten 
kann. Auch ergibt sich so die 
Möglichkeit, ein System zu er- 
weitern, insbesondere wenn 
zum Beispiel zusätzliche Dienste 
auf dem System aktiviert wer- 
den müssen, deren Einsatz im 
Vorfeld nicht abzusehen war. 

Neben der Performance er- 
höht ein Clustering von Syste- 
men auch die Ausfallsicherheit. 
Diese ist allerdings nur dann 
gewährleistet, wenn die nach 
einem Ausfall verbliebenen 
Systeme die anfallende Last 
auch bearbeiten können. 

Um die Verfügbarkeit der 
Dienste zu gewährleisten, ist ein 
Clustering nicht unbedingt not- 
wendig. Hier reicht bereits eine 
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Standby-Lösung, die nahezu alle 
größeren Pakete bieten. Es stellt 
sich lediglich die Frage, ob eine 
Cold-Standby-Lösung ausreicht 
oder ob eine Hot-Standby-Lö- 
sung notwendig ist. Bei einer 
Cold-Standby-Lösung wird das 
Ersatzsystem erst aktiviert, 
wenn das ursprüngliche System 
ausgefallen ist. Bestehende Ver- 
bindungen müssen dann neu 
aufgebaut werden, was nicht 
bei jeder Anwendung machbar 
ist. VPN-Nutzer müssten bei- 
spielsweise einen neuen Tunnel 
aufbauen, da das Ersatzsystem 
nichts davon „weiß“, dass sie 
bereits mit dem internen Netz- 
werk verbunden waren. Bei 
einer Hot-Standby-Lösung erhält 
das Ersatzsystem grundsätzlich 
dieselben Informationen wie das 
aktive System. Bei einem Ausfall 
kann es so alle offenen Verbin- 
dungen übernehmen. Die dar- 


über laufenden Dienste bemer- 
ken also den Ausfall gar nicht. 
Ob Clustering, Hot- oder Cold- 
Standby die beste Lösung dar- 
stellen, ist meistens auch eine 
Frage des zur Verfügung ste- 
henden Budgets. 

Um Systeme im Nachhinein 
performanter zu betreiben, 
bieten manche Hersteller Er- 
weiterungen durch Ko- oder 
Kryptoprozessoren an. Dies ist 
insbesondere dann sinnvoll, 
wenn die innerhalb einer UTM- 
Appliance vorhandenen rechen- 
intensiven Dienste wie VPN 
stark in Anspruch genommen 
werden. Hier lässt sich unter 
Umständen einiges an Geld 
sparen, da der Nachkauf einer 
solchen Karte deutlich günsti- 
ger ist als das Auswechseln 
eines ganzen Systems. 

Außerdem kann die Reihen- 
folge, in der die Dienste inner- 
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halb des UTM-Geräts den Da- 
tenstrom abarbeiten, die Per- 
formance beeinflussen. Die 
Reihenfolge Firewall, IPS und 
Anti-Virus ist im Allgemeinen 
weniger rechenintensiv als um- 
gekehrt, weil im ersten Fall 
schon ein Großteil des Daten- 
stroms gefiltert wird und gar 
nicht erst zur weiteren Verar- 
beitung an die Folgesysteme 
gelangt. Bei den meisten UTM- 
Systemen ist jedoch die Rei- 
henfolge, in der die einzelnen 
Services die Daten überprüfen, 
fest vorgegeben. Nur ganz 
wenige Hersteller bieten den 
Luxus einer freien Konfigura- 
tion. Dabei kann es durchaus 
interessant sein, ein IPS/IDS di- 
rekt an der Internetschnittstelle 
(Perimeter) lauschen zu lassen 
und so ein Gefühl dafür zu be- 
kommen, wie vielen Angriffen 
das eigene Netzwerk denn tat- 
sächlich ausgesetzt ist. 

Neben den reinen Konfigu- 
rationsmöglichkeiten ist die 
Managementschnittstelle von 
wesentlicher Bedeutung. Die 
Definition von Rollen und die 
Zuweisung von Accounts zu 
diesen Rollen beherrschen na- 
hezu alle größeren und meist 
auch kleineren Systeme. Zu- 
mindest erlauben sie den 
(lesenden oder schreibenden) 
Zugriff auf die einzelnen Konfi- 
gurationen. Das Ausblenden 
von bestimmten Bereichen für 
manche Rollen (zum Beispiel 
darf der Anti-Viren-Admin 
keine Einsicht in das Firewall- 
Regelwerk nehmen) beherr- 
schen ebenfalls einige der 
teureren Systeme. Solche Mög- 
lichkeiten werden vor allem für 
den Einsatz in Großunterneh- 
men benötigt, wenn sich unter- 
schiedliche Gruppen um unter- 
schiedliche Bereiche kümmern 
müssen. Die Integration des 
Systems in eine zentrale Be- 
nutzerverwaltung via LDAP 
(Lightweight Directory Access 
Protocol), Active Directory oder 
ähnliche Dienste ist jedoch für 
nahezu jeden Kunden interes- 
sant, und daher bieten viele 
Systeme diese Funktionen an. 
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Setzen Unternehmen meh- 
rere UTM-Systeme in einem 
Netz ein, ist eine zentrale Ver- 
waltung für Policies, Firewalls, 
IDS/IPS und Virenscanner un- 
bedingt erforderlich, um den 
Aufwand in Grenzen zu halten. 
Auch das Verteilen von Pat- 
ches für die eingesetzten Ap- 
pliances ist über eine solche 
Umgebung deutlich einfacher 
als bei einer dezentralen Ver- 
waltung. Zum Teil müssen 
Anwender dafür ein entspre- 
chendes Management-Center 
erwerben, was zusätzliche 
Kosten verursacht. Diese 
Managementumgebungen er- 
lauben es auch, die Protokol- 
lierungsmöglichkeiten der 
einzelnen Systeme und der 
auf den Systemen laufenden 
Services in einer zentralen Um- 
gebung zusammenzufassen. 

Allerdings beherrschen die 
wenigsten Produkte eine richti- 
ge Event-Korrelation. Hier wer- 
den Anwender in den meisten 
Fällen nicht um eine zusätzli- 
che Anschaffung herumkom- 
men. Die Konfiguration von 
Alarmen hingegen ist mit nahe- 
zu jedem System möglich. 
Dabei verschicken die Systeme 
meistens bei einer vorher zu 
definierenden Log-Nachricht 
einen SNMP-Trap, eine E-Mail 
oder Ähnliches an einen fest- 
gelegten Empfänger. Manche 
Hersteller liefern sogar die 
Möglichkeit, Schwellwerte zu 
definieren, ab denen ein sol- 
cher Alarm ausgelöst wird. 


Fazit 


UTM-Produkte sind heutzutage 
ein wesentlicher Teil des Secu- 
rity-Alltags, und dies nicht nur 
wegen des meist guten Kos- 
ten-Nutzen-Verhältnisses. Die 
Administration sämtlicher Se- 
curity-Dienste über eine dedi- 
zierte Benutzerschnittstelle 
gefällt vielen Administratoren 
und verspricht eine kürzere 
Einarbeitungsphase. Die nöti- 
ge Schulung lässt sich aber 
nicht in zwei bis drei Tagen 
erledigen. Jörn Maier 
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Kontrollierter 
Wiedereintritt 


Network Admission Control als moderne 
Netzzugangssicherung 


Network Admission Control (NAC) hat auf den ersten 
Blick alles, was einen typischen IT-Hype ausmacht: 
Der Begriff ist erst seit gut zwei Jahren in der 
Diskussion, wird von IT-Sicherheitsanbietern gepusht 
und vereint technisch gesehen nur altbekannte 
Sicherheitstechniken zu einem neuen Modell. Doch 


der Eindruck täuscht. 


IA wenn viele ange- 
sichts immer neuer Mo- 
debegriffe nur noch gelangweilt 
abwinken — Network Admission 
Control (NAC) ist mehr als ein 
Marketingschlagwort. Hinter 
NAG steckt ein sinnvolles Kon- 
zept, das auf die zunehmende 
Mobilität von Unternehmens- 
mitarbeitern reagiert. 

Ziel der NAC-Technik ist es, 
Netzwerksicherheit auch dann 
zu gewährleisten, wenn sich 
Geräte von Netzteilnehmern 
zeitweise außerhalb eines 
Unternehmensnetzes, seiner Si- 
cherheitssysteme und der Kon- 
trollmechanismen für seine Po- 
licies befinden. Viren, Trojaner 
oder Spyware, die in einer 
fremden Umgebung auf den PC 
eines Mitarbeiters geraten sind, 
können beim nächsten Kontakt 
des Geräts mit dem internen 
Netz überspringen. Zumindest 
gilt dies, wenn die Schutzsyste- 
me des internen Netzes dem 
„eigenen“ Computer einfach 
vertrauen und Daten vom Fir- 
men-PC ungeprüft durchlassen. 
NAG unterwirft deshalb alle Ge- 
räte, die sich mit einem Netz 
verbinden wollen, zunächst 
einer Kontrolle und stellt fest, 
ob sie für eine uneingeschränk- 
te Verbindung noch sicher 
genug sind oder erst einer Spe- 
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zialbehandlung unterzogen wer- 
den müssen. 

Diese Grundidee, ihr Wert 
und die einzelnen NAC-Spiel- 
arten lassen sich am besten 
bewerten, indem man einen 
Blick auf frühere Lösungsan- 
sätze für die Mobilproblematik 
und ihre Limitationen wirft. 


Das Ende des 
geschlossenen Netzes 


Anfangs war es ein unausge- 
sprochenes Ziel der Adminis- 
tration, den Zustand eines ge- 
schlossenen Netzes so weit wie 
möglich zu erhalten. Der exter- 
ne Mitarbeiter wurde über di- 
rekte Modemeinwahl und spä- 
ter über eine VPN-Leitung erst 
authentifiziert und dann wie mit 
einem verlängerten Kabel wie- 
der „ins Netz geholt“. Dort 
schützte die Unternehmens- 
Firewall sein Gerät wie einen 
echten internen PC und hielt es 
im Zugriffsbereich des Admi- 
nistrators. Den Internetzugang 
gewährte man in einem sol- 
chen Fall folgerichtig über den 
Umweg des Unternehmensnet- 
zes, um hier alle Filter und 
Schutzmechanismen des Gate- 
ways wirken zu lassen. 

Dies kann als der erste Lö- 
sungsversuch für das Problem 


der zunehmenden Mobilität der 
Arbeitsplatz-PCs gesehen wer- 
den. In Unternehmen, die so 
vorgehen, sind die Sicherheits- 
maßnahmen noch immer auf ein 
Arbeitsplatzkonzept zugeschnit- 
ten, das den per Kabel ange- 
schlossenen und permanent 
kontrollierbaren PC als Normal- 
fall betrachtet. Funktionieren 
kann das Konzept in Organisa- 
tionen, die ihren reisenden An- 
gestellten überall rund um die 
Uhr schnelle VPN-Gateways zur 
Verfügung stellen können. 


Jenseits des VPN 


In den meisten Fällen allerdings 
nutzen und benötigen Mitarbei- 
ter Zugriff aufs Internet auch 
unabhängig von VPN-Verbin- 
dungen ins Unternehmensnetz. 
Die Internet-Zugriffsrichtlinien, 
die im internen Netz eines 
Unternehmens zum Beispiel 
durch die Blockade bestimmter 
Webseiten am Gateway kon- 
trolliert werden können, gelten 
aber weder zu Hause noch in 
Hotels, an Flughäfen und in öf- 
fentlichen Cafes. Dies und die 
fehlenden Gateway-Filter erhö- 
hen die schon beschriebene 
Gefahr, dass Malware auf den 
Rechner gelangt — etwa, wenn 
der Anwender bewusst fremde 
Software auf seinen Rechner 
lädt, wenn er auf einer schein- 
bar harmlosen Seite im Internet 
in eine Download-Falle gerät 
oder wenn er eine ungeschütz- 
te E-Mail-Verbindung nutzt. 
Möglicherweise ist auch bereits 
das fremde Netz kompromit- 
tiert, über das er sich Verbin- 
dung zum Internet verschafft. 
Zweifellos helfen gegen solche 
Gefahren autonome Sicher- 
heitspakete für Clients, aber es 
gibt keine Garantie, dass diese 
permanent funktionieren und 
dass sie der Anwender nicht 
einfach außer Betrieb setzt, 
wenn sie stören. 

Ein zweiter Lösungsweg 
setzt hier an und unternimmt 
den Versuch, Zugriffs- und Si- 
cherheitsrichtlinien unabhängig 
vom Gateway fest im mobilen 


Rechner zu verankern. Das 
Gerät wird dazu mit Sicher- 
heitssoftware ausgestattet, die 
sich nicht vom Anwender um- 
konfigurieren lässt und die glei- 
chen Restriktionen durchsetzt 
wie im heimischen Netz. Dieses 
Konzept aber wirft eigene Pro- 
bleme auf: Zu oft erfordern es 
die Umstände auf Reisen, dass 
der Anwender eben doch Ände- 
rungen vornehmen muss, um 
überhaupt eine Verbindung auf- 
nehmen zu können - und dann 
hat er keine Chance, wenn die 
Sicherheitssoftware für ihn ge- 
sperrt und der Administrator 
nicht rund um die Uhr erreich- 
bar ist. Außerdem gibt es Ge- 
räteklassen wie bestimmte 
Smartphones und PDAs oder 
auch technische Spezialgeräte, 
die nicht ohne Weiteres das In- 
stallieren geeigneter Client- 
Software zulassen. 


Gäste als 
Sicherheitslücke 


Noch komplizierter wird die Si- 
tuation durch die neuesten 
Trends der modernen Arbeits- 
welt. Externe Berater, Zeitar- 
beitskräfte und auf freier Basis 
verpflichtete Mitarbeiter über- 
nehmen in immer mehr Organi- 
sationen Aufgaben, die früher 
fest angestellten Mitarbeitern 
vorbehalten waren. Die 
„Freien“ arbeiten mit eigenen 
Rechnern, über die der Unter- 
nehmensadministrator keine 
Kontrolle hat, erwarten aber 
selbstverständlich an ihrem 
Einsatzort Zugriff aufs Internet, 
aufs eigene Mail-System und 
auf ausgewählte Ressourcen 
des Kunden. Auch auf solche 
Konstellationen muss ein mo- 
dernes Netz reagieren können. 
Network Admission Control 
oder Network Access Control, 
manchmal auch Network 
Access Protection (NAP), ist 
tatsächlich die bisher ausge- 
feilteste Antwort auf die be- 
schriebenen Probleme. NAC 
lässt mobile Geräte temporär 
frei, unterwirft sie beim erneu- 
ten Kontakt mit dem Unterneh- 
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Security 


mensnetz aber wieder dessen 
Regeln. Geräte, die sich mit 
einem Netzwerk verbinden, 
werden dazu auf mehreren 
Ebenen geprüft: 

- Ist der Anwender bekannt? 
- Ist sein Gerät bekannt und 
registriert? 

— In welchem Sicherheitszu- 
stand befindet sich das Gerät, 
und entspricht er den Regeln 
des Unternehmens? 

Die möglichen Antworten 
auf die letzte Frage betreffen 
die sogenannte Endpoint Secu- 
rity und umfassen Informatio- 


Vin 


nen wie die installierte Soft- 
ware, den Aktivitätszustand von 
Virenschutz, Firewall und ande- 
ren Sicherheitswerkzeugen und 
den Patch-Stand der System-, 
Anwendungs- und Sicherheits- 
software mit den jeweiligen 
Signaturdateien. 

Auf die Ergebnisse muss das 
Netz möglichst fein abgestuft 
reagieren können. Fremdrech- 
ner beispielsweise könnte es in 
ein separates Gästenetz einglie- 
dern, etwa ein virtuelles LAN 
(VLAN), das nur Internet- und 
Mail-Zugang bietet. Hier kann 


der Administrator dem Gast 
dann einzelne interne Res- 
sourcen gezielt zuteilen. Noch 
radikalere Lösungen weisen 
dem Gast nur eine virtuelle 
Weboberfläche als Arbeitsumge- 
bung zu. 


Bekannte Rechner von bekann- 
ten Mitarbeitern können voll- 
ständig eingebunden werden, 
wenn ihre Schutzsysteme auf 
dem neuesten Stand sind und 


keine unbekannte Software in- 
stalliert ist. Fehlen Patches 
oder weicht der Computerzu- 
stand aus anderen Gründen 
vom Soll ab, ist eine komplette 
Sperrung möglich. Eine Alter- 
native bietet die temporäre 
Überführung in ein Quarantäne- 
und „Remediation“-Netz, das 
zunächst die verpassten Up- 
dates erzwingt und während 
der möglichst kurzen und 
transparenten „Reparatur“ des 
Computers keine oder nur we- 
nige weitere Aktionen zulässt. 

NAC hat eine Reihe ver- 
schiedener technischer Kompo- 
nenten: Module, die das Gerät 
des Mitarbeiters erkennen und 
seinen Zustand bestimmen, 
Systeme, die die adäquate Be- 
handlung des Geräts im Netz 
erledigen und Vorrichtungen, 
die die Unternehmensrichtlinien 
beim Wiedereintritt ins Netz er- 
neut auf dem Endgerät selbst 
durchsetzen. 

Bei der Authentifizierung des 
Geräts greifen Anbieter mehr 
und mehr auf Verfahren auf 
Basis des Layer-2-Protokolls 
802.1X zurück. Bei Geräten, die 
nicht 802.1X-fähig sind, wird 
die MAC-Adresse genutzt. Bei 
internen Geräten kann das 
NAC-System vom Unterneh- 
mens-Directory erfahren, um 
welches System es sich handelt 
und ob dieses seinen Sicher- 
heitszustand überhaupt ändern 
kann: Manche mobilen Maschi- 
nen oder Messgeräte etwa kön- 
nen zwar IP- und MAC-Adres- 
sen haben, sind aber fremder 
Software und damit auch Mal- 
ware gar nicht zugänglich. Das 
Unternehmens-Directory oder 
ein Policy-Server geben Aus- 
kunft darüber, welche Regeln 
für ein Gerät unter welchen 
Umständen gelten. Völlig frem- 
de Systeme, für die es keine 
Einträge in den Unterneh- 
mens-Repositories gibt, kön- 
nen ins erwähnte Gästenetz 
geschickt werden — wobei 
noch die Möglichkeit besteht, 
sie gesondert zu behandeln, 
wenn zumindest der Anwender 
bekannt ist. 
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Klare Vorteile für KMUs, Konzerne und Service Provider 


Managed Security Services 


Der Markt für Managed 
Security Services wächst 
beständig, jedoch galt es 
als schwierig und kostenin- 
tensiv, diese Dienstleistung 
im Outsourcing-Verfahren 
zu erbringen. Clavisters 
neue Security Service-Platt- 
form beseitigt diese Pro- 
bleme und ermöglicht es so 
Resellern, Systemhäusern, 
IT-Abteilungen sowie 
Service Providern effizient 
auf dem Outsourcing-Secu- 
rity-Markt zu agieren. 


Die Clavister Security Service-Plattform 
(SSP) steht für das gesamte Clavister-Pro- 
duktportfolio von Security-Gateways, 
UTM-Appliance- sowie Management Sys- 
teme und den damit zusammenhängenden 
Sicherheits-Services. Diese Lösung, kombi- 
niert mit den Clavister Lifecycle-Systemen 
FineTune, PinPoint, und Insight setzt einen 
neuen Standard für Managed Security Ser- 
vices, da sich einerseits die Total Cost of 
Ownership (TCO) auf ein Minimum redu- 
zieren lässt und andererseits ein rascher Re- 
turn of Invest (ROI) erreichen lässt: sowohl 
für KMUs, die ihre Security an externe 
Dienstleister auslagern, als auch für Kon- 
zerne, die über interne IT-Serviceabteilun- 
gen verfügen und Service Provider, die 
ihren Kunden wiederum Sicherheitsdienst- 
leistungen anbieten wollen. FineTune und 
PinPoint werden von Clavister kostenlos 
angeboten, wodurch Managed Security Ser- 
vice Provider im Gegensatz von herkömm- 
lichen Lösungen massiv Geld sparen kön- 
nen. Die Hardware-Basis in den Zentralen 
bilden dabei UTM-Appliance-Systeme der 
4000er-oder 3000er-Systemreihen. Zur An- 
bindung von Niederlassungen kommt bei- 
spielsweise die SG10-Serie zum Einsatz. 
Die SG10-Serie garantiert Managed Secu- 
rity Service Providern eine optimale und si- 
chere Anbindung von kleinen Firmen oder 
Außenstellen. Damit werden Kompromiss- 
lösungen vermieden, die Service Provider 
in der Vergangenheit dazu gezwungen hat- 
ten sich zwischen Standardprodukten mit 
unzureichenden Funktionen oder teuren Lö- 
sungen mit unnötig vielen Features zu ent- 
scheiden. Die SG10-Serie bietet darüber 
hinaus noch weitere Vorteile: Beispiels- 
weise kann eine Antivirus Scan-Engine und 


eine Supportfunktion für Clavisters InSight 
Reporting- und Logfile-Analyse-System ge- 
nutzt werden. Ebenso enthält die Serie eine 
Web Content Filtering-Funktion sowie ein 
Intrusion Detection und Prevention 
(IDP/IPS) System. 

Die Lösung ermöglicht einen schnellen 
und kosteneffizienten Einsatz der Managed 
Security Services (MSS), beispielsweise in 
den Bereichen: 


Managed VPN 
Managed Wireless Network Protection 
Managed Firewalling 


Managed Intrusion Detection and 
Prevention (IDP) 


Managed Antivirus Protection 
Managed Content Filtering 
Managed Web-Use Reporting 


Managed Regulatory Compliance 
Reporting 


Die Clavister SSP zeichnet sich durch 
die Fähigkeit aus, sich an das Wachstum 
der Unternehmen anpassen zu können (Cla- 
vister xPansion Lines). Hierzu wurde die 
Lösung mit Feinabstimmungsmechanismen 
und hochgradig skalierbaren Funktionen 
ausgestattet, die es jedem Betreiber ermög- 
lichen, diese an seine individuellen Leis- 
tungs- und Funktionsanforderungen nahtlos 
anzupassen. Die Tatsache, dass sowohl der 
Clavister SSP als auch das Customer Pre- 
mise Security Gateway (CPE) dasselbe 
hoch skalierbare Betriebssystem Clavister 
CorePlus”" verwenden, macht jegliche 
Kompromisse zwischen maximalem Ser- 
vice, Verfügbarkeit, Funktionalität, Steuer- 
barkeit, TCO sowie Kapitalinvestitionen 
hinfällig. 


Zentrales Remote 
Management 


Mit FineTune steht den Anbietern von 
Managed Security Services ein modernes, 
graphisch orientiertes Management-System 
(GUI) zur Verfügung, das die zentrale Ver- 
waltung einer Vielzahl von Clavister Secu- 
rity-Gateways aus einer benutzerfreund- 
lichen GUI-Umgebung heraus ermöglicht. 
Über dieses Management-System ist die 
Remote-Verwaltung aller Clavister-Devi- 
ces inklusive deren Konfiguration, Real 
Time-Monitoring sowie -Logging, Revi- 
sionskontrolle und Firmware Upgrades 
möglich und wird via 128-Bit-Verschlüsse- 
lung und Authentifizierungsmechanismen 
effektiv geschützt. 


Anzeige 


Sicherheitsprozesse in 
Echtzeit überwachen 


Mit Clavister-PinPoint'“ ist ein neues 
Tool verfügbar, mit dem Sicherheitsprozes- 
se in Echtzeit überwacht werden können. 
Dieses ermöglicht Security Managern über 
eine intuitiv zu bedienende Oberfläche 
einen grafischen Überblick u.a. über Surf- 
gewohnheiten, Resultate von Virus- oder 
Malware-Scans, Einbruchsversuche in das 
Netzwerk oder VoIP-Statistiken. Vergleich- 
bar mit einem Flugzeug-Cockpit, können 
die „Piloten“ von PinPoint essenzielle 
Daten (Mission Critical) von weniger wich- 
tigen (Non-Critical) unterscheiden und an- 
zeigen lassen. Clavister ist der erste Herstel- 
ler, der eine einfach zu bedienende Appli- 
kation auf den Markt bringt, die Security- 
abhängige Vorfälle in Echtzeit visualisiert. 


Virtual Security Gateway - 
Sicherheit für virtuelle 
Umgebungen 


Mit dem Clavister Virtual Security 
Gateway für VMware lassen sich virtuelle 
Systeme wirksam vor Hacker-Attacken und 
Malware schützen, da die Gateways über 
alle Funktionen der Hardware Appliance 
Security Gateways verfügen, inklusive aller 
UTM-Services. Darüber hinaus schützen 
Sie die Kommunikation der virtuellen Sys- 
teme untereinander durch den Einsatz von 
VPN-Verschlüsselung. Auch hinsichtlich 
der Security Policies müssen keine Ein- 
schränkungen gemacht werden, da sich die 
einmal definierten Policies auch auf die vir- 
tuellen Maschinen anwenden lassen. Das 
Virtual Security Gateway eignet sich auch 
zum Einsatz in Datencentern. Weitere Vor- 
teile sind: Einfache Wartung, hohe Skalier- 
barkeit, virtuelle Systeme (OOBs), IDS und 
Auditing. 

Auch wenn die Firmen noch zögern, 
insgesamt mehren sich die Anzeichen 
dafür, dass sich der MSS-Markt in einem 
Aufschwung befindet. Das zeigt die Um- 
satzentwicklung der europäischen Security- 
Outsoureing-Anbieter: Die Analysten von 
Gartner bescheinigen diesen eine durch- 
schnittliche jährliche Wachstumsrate von 
14,9 Prozent. 
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Den Zustand von Compu- 
tern, die das Installieren oder 
wenigstens Ausführen von ex- 
tern aufgespielter Software er- 
lauben, können NAC-Systeme 
mithilfe von Client-Komponen- 
ten ermitteln. Auf dem Endge- 
rät installierte Software kann 
Änderungen dort permanent 
protokollieren. Dabei müssen 
nicht immer spezielle NAC- 
„Agenten“ im Spiel sein. Auch 
NAC-kompatible Sicherheits- 
pakete für PCs, neuere Be- 
triebssysteme selbst oder 
Patch-Managementsysteme 
können die Rolle des Informa- 
tionslieferanten über den 
Rechnerzustand übernehmen. 

Wo nichts ohne Zustim- 
mung installiert werden kann 
oder darf, lässt sich ein Gerät 
vielleicht auf eine Website lei- 
ten, die es dann mithilfe von 
ActiveX- oder Java-Applets 
überprüft. Im Zweifelsfall muss 
man den Anwender einbezie- 
hen - beispielsweise, indem 
man ihm einen erweiterten Zu- 
gang nur gewährt, wenn er be- 
stimmte Softwarepakete selbst 
herunterlädt und installiert. 
Manche NAC-Systeme starten 
sogar Vulnerability-Scans auf 
Geräten, die sich mit dem Netz 
verbinden. 


Standards in Sicht 


Die Durchsetzung der Richtli- 
nien für die Zugriffsrechte im 
Netz sowie die Zuordnung zu 
einem bestimmten Subnetz 
oder VLAN, die das NAC-Sys- 
tem aus den für ein Gerät gel- 
tenden generellen Policies und 


FH Gelsenkirchen 


seinem Zustand ableitet, kön- 
nen im Netz unterschiedliche 
Systeme übernehmen: Infra- 
strukturkomponenten wie 
Switches, spezielle Appliances 
mit Router- und Switch-Funk- 
tionen oder Server-Software- 
produkte. Die zuletzt genannte 
Lösung präsentiert sich dabei 
gern selbst als die flexibelste, 
weil sie keine Bindung an 
einen Switch- und Komponen- 
tenhersteller mit sich bringt 
und auch in heterogenen Net- 
zen gut funktioniert. Allerdings 
lässt sich inzwischen beob- 
achten, dass die großen In- 
frastrukturanbieter mit ihren 
NAC-Lösungen aufeinander 
zugehen und diese zueinander 
kompatibel gestalten. Eine be- 
sondere Rolle spielt dabei die 
von der Trusted Computing 
Group gegründete Arbeits- 
gruppe „Trusted Network 
Connect“, die Standards schaf- 
fen will. Auch in Deutschland, 
etwa an der FH Gelsenkirchen 
und FH Hannover im Rahmen 
des Projekts tnac, arbeitet man 
an Lösungen für mehr Interope- 
rabilität und Kompatibilität. 
NAC-Appliances können 
„Inline“ wie eine Firewall vor 
dem gesamten zu schützenden 
Netz arbeiten oder als „Out-of- 
Band“-Einheiten, die andere 
Netzwerkkomponenten steu- 
ern. Nicht jedes NAC-System 
gibt sich mit der „Pre-Connect- 
Kontrolle“ zufrieden - manche 
arbeiten in einer gewissen 
Analogie zu Intrusion-Detec- 
tion-Systemen als „Post-Con- 
nect-NAC“ und prüfen perma- 
nent, ob ein Computer im Netz 


www.internet-sicherheit.de/ 


forschung/aktuelle-projekte/tnac 


Free NAC 
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Netreg 
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verdächtig agiert. Sinnvoll kann 
auch eine passive Überwa- 
chung des Address Resolution 
Protocols (ARP) sein. Compu- 
ter, die Schutzmechanismen 
auf 802.1X- oder DHCP-Ebene 
entgangen sein könnten, müss- 
ten zumindest dort durch 
Aktivität auffallen. 

Die letzte NAC-Komponente, 
die Durchsetzung der Richt- 
linien auf den PCs selbst, über- 
nehmen wiederum die dort in- 
stallierten Clients — sofern dem 
Anwender die entsprechenden 
Reparaturen nicht einfach im 
Remediation- oder Quarantäne- 
Segment aufgezwungen werden 
können. Die Clients können 
helfen, bei Richtlinienabwei- 
chungen Software neu aufzu- 
spielen, bestehende Programme 
zu aktualisieren oder uner- 
wünschte Programme zu 
löschen. 

Betrachtet man die ganze 
Bandbreite von NAC-Syste- 
men, reicht diese von der ein- 
fachen Abfrage der Netzkom- 
ponenten via SNMP bis hin zu 
den erwähnten, umfassend in 
Netzwerkinfrastrukturen inte- 
grierten Lösungen. Dabei 
kommt immer wieder der 
Vorwurf auf, keines dieser 
Systeme sei perfekt: Client- 
Komponenten etwa lassen sich 
fälschen, und DHCP-gestützte 
Ansätze, die Geräte über 
Adresszuweisungen steuern, 
scheitern manchmal schon 
daran, dass sich ein Computer 
mit einer fest vorgegebenen 
IP-Adresse anmeldet. Solche 
Kritik geht aber von falschen 
Prämissen aus. NAC richtet 
sich nicht primär gegen aus- 
gewiesene Industriespione, 
sondern gegen Gefahren, die 
aus den Nebenwirkungen der 
heutigen Mobilität entstehen. 
Diese Risiken reduzieren die 
existierenden Systeme bereits 
recht gut. 

Die Zahl und die Vielfalt der 
mobilen Geräte — von Note- 
books und Tablet PCs bis hin 
zu Handys, PDAs, Smartphones 
und verschiedenen portablen 
Speichermedien - in einer 


unternehmensweiten Umge- 
bung sowie die vielen unter- 
schiedlichen Nutzer und Wege 
des Zugangs zu den Daten 
machten es häufig erforder- 
lich, neben einem NAG zusätz- 
liche Sicherheitsmaßnahmen 
einzuführen. Dazu gehört die 
Verschlüsselung von Festplat- 
ten, wobei sich der Nutzer mit 
einem Boot-Kennwort an sei- 
nem Gerät authentifizieren 
muss. Erst dann startet das 
Betriebssystem und generiert 
die Schlüssel, sodass die 
Daten bei Anforderung ent- 
und bei der Speicherung wie- 
der verschlüsselt werden kön- 
nen. Diese Methode kann aber 
nicht alle heute vorhandenen 
mobilen Devices schützen, 
außerdem gehen damit weite- 
re Nachteile für Administrato- 
ren einher: Sie müssen zusätz- 
lich Kennwörter in einem 
Modus verwalten, in dem noch 
kein Netzwerk vorhanden ist. 
Außerdem sind Prozesse 
wie das Aufspielen von Pat- 
ches für Betriebssysteme oder 
Anwendungen komplizierter, 
denn diese können nicht wie 
im Unternehmen üblich auto- 
matisiert über Nacht ablaufen. 
Bei Reboot-Vorgängen hakt es 
nämlich aufgrund des einzuge- 
benden Kennworts. Doch gibt 
es auch intelligente Verschlüs- 
selungslösungen, die mithilfe 
von Policies arbeiten. Über das 
Regelwerk lässt sich differen- 
ziert bestimmen, welche Daten 
für welche Nutzer zugänglich 
sind: Dafür lassen sich Datei- 
typen (etwa alle doc-Dateien) 
bestimmen, Zugriffe pro Nut- 
zer festlegen, ganze Anwen- 
dungen auf eine bestimmte Art 
schützen oder der Umgang mit 
bestimmten Geräten angeben. 
Schließlich kann der Sicher- 
heitsverantwortliche auch 
Systemdaten wie lokale oder 
Domänen-Zugangsdaten, 
Paging-Dateien oder tempo- 
räre Dateien über Regeln 
verschlüsseln. 
Bettina Weßelmann 
Die Autorin arbeitet als freie 
Journalistin in München. 
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Security 


Ausgelagert 


Managed Security Services — Sicherheit 


aus fremder Hand 


Viele Kleine Unternehmen haben weder das Know-how 
noch die personellen Ressourcen, um die steigenden 
Anforderungen an die IT-Security umzusetzen — Grund 
genug, über Managed Security Services nachzudenken. 


Bi kleine und mittle- 
re Unternehmen sind mit 
Aufbau und Pflege einer effekti- 
ven IT-Sicherheitstechnik oft 
überfordert, da es ihnen häufig 
an personellen Ressourcen, aber 
auch an Spezialwissen fehlt. In 
den letzten Jahren haben sich 
im Bereich IT-Sicherheit zahlrei- 
che neue Dienstleistungen ent- 
wickelt. Die sogenannten Ma- 
naged Security Services reichen 
von der Konfiguration, Wartung 
und Aktualisierung von einzel- 
nen Sicherheitssystemen bis 
hin zur vollständigen Übernah- 
me von Sicherheitsaufgaben 
durch den Dienstleister. 

Als Markttreiber gelten die 
zunehmenden und ständig 
neuen Bedrohungen, Wirt- 
schaftlichkeitsbetrachtungen 


und das Erfordernis, gesetzliche 
Anforderungen zu erfüllen. Auch 
wächst das Bewusstsein für po- 
tenzielle Schäden. Trotzdem zö- 
gern besonders kleine und mitt- 
lere Unternehmen noch damit, 
einzelne Sicherheitsbausteine 
auszulagern. 

Nach der Studie IT-Security 
2007, die CMP Weka auf dem 
Kongress „Live Security“ in Ber- 
lin vorgestellt hat, nutzen nur 25 
Prozent der Befragten Managed 
Security Services in ihren Unter- 
nehmen. Rund 71 Prozent ant- 
worteten auf die Frage „Hat Ihr 
Unternehmen einzelne IT-Si- 
cherheitsanwendungen an ex- 
terne Dienstleister vergeben?“, 
schlicht mit „Nein“. 

Ein großer Vorteil der Ma- 
naged Security Services ist, 


dass die darauf spezialisierten 
Dienstleister sich die besten IT- 
Security-Technologien sowie 
die dazugehörigen Experten 
leisten und diese Kosten auf 
alle Kunden verteilen können, 
die sich damit auf ihr eigenes 
Kerngeschäft konzentrieren 
können. Diensteanbieter beto- 
nen darüber hinaus die Vorteile 
der Kostenreduzierung und 
-kontrolle für den Kunden, 

die Erhöhung des Sicherheits- 
niveaus bei einem Service rund 
um die Uhr, automatische Sys- 
tem-Updates, eine Reduzierung 
von Administrations- und War- 
tungsaufwand sowie die Entlas- 
tung der internen Ressourcen. 


Dienstleister auf 
dem neuesten Stand 


Es gibt eine Vielzahl von Anbie- 
tern: Carrier, Application Ser- 
vice Provider, Outsourcer wie 
IBM oder HP und Dienstean- 
bieter wie Symantec oder Kas- 
persky. Alle haben sich auf 
unterschiedliche Bausteine spe- 
zialisiert. Eine große Begriffs- 
vielfalt für den ASP-Markt insge- 
samt sieht eco, der Verband der 
deutschen Internetwirtschaft. Da 
heißt es nicht mehr wie früher 
einfach Application Service Pro- 


viding (ASP), sondern Software 
as a Service (SaaS), Web-based 
Services oder Managed Ser- 
vices, obwohl das Problem das 
gleiche geblieben sei. 

Aber eine klare Abgrenzung 
der Dienstleister und ihrer Ange- 
bote wird dadurch schwierig, so 
eco, zumal jeder Anbieter seinen 
eigenen Schwerpunkt in den 
Vordergrund stellt. 


Großer Leidensdruck 
bei E-Mail-Security 


Im Bereich E-Mail ist Hand- 
lungsbedarf besonders ange- 
sagt, sonst wird dieser Kommu- 
nikationsweg für Unternehmen 
über kurz oder lang unbrauch- 
bar. Entsprechend des großen 
Leidensdrucks tummeln sich 
hier zahlreiche Anbieter wie 
Kaspersky, Eleven, Symantec 
oder Messagelabs, die die ein- 
sowie ausgehende E-Mail-Kom- 
munikation des Kunden zu- 
nächst auf eigene Server umlei- 
ten, dort prüfen und bereinigt 
von Schadsoftware und Spam 
zum Auftraggeber zurückliefern. 
Damit wehren die Dienst- 
leister die Bedrohung der Mail- 
Infrastruktur des Auftraggebers 
ab und können potenziell die 
geschäftsrelevante E-Mail- 


Anzeige 


VoIP-Anwendungen „tunneln“ Unternehmens-Firewalls 


underground_8 schließt Sicherheitslücke „Skype“ 


Grund 


Die VoIP-Anwendung Skype kann auf 


ihrer technologischen Be- 
schaffenheit ein hohes Sicherheitsrisi- 


ko für die IT-Infrastruktur von Unter- 
nehmen darstellen. Dabei wirken sich 
die starken programminternen Sicher- 
heitsvorkehrungen negativ auf die 
Nutzung in Unternehmen aus. Mitar- 
beiter können via Skype vertrauliche 
Informationen unbemerkt Ausschleu- 
sen, während Angreifer die VoIP-Ver- 
bindung zum Einschleusen von Mali- 
cious Code nutzen. Mit den speziellen 
Funktionen des MF Security Gate- 
ways von underground_8 können 
IT-Administratoren der unerlaubten 
Nutzung von Skype wirksam einen 
Riegel vorschieben. Die Firewall Appli- 


ance sperrt die Skype-Nutzung auf 
Wunsch bereits am Gateway, dem 
zentralen Zugang zwischen internem 
und externem Netzwerk, oder 
schränkt die Benutzung nur für 
bestimmte Computer ein. Das Securi- 
ty Gateway erkennt, klassifiziert und 
blockt darüber hinaus alle Arten von 
Messaging- und P2P-Programmen. 


Mehr Informationen unter: le 
www.underground3.com Den / 
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Besuchen Sie uns auf der SYSTEMS 2008 (Halle 3B / Stand 328) und erfahren Sie wie Sie Ihr Unternehmen wirksam 
ee durch Security Gateways von underground_8 schützen können. 
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Security 


Kommunikation auch in Spit- 
zenlastzeiten sicherstellen. Ge- 
fährliche E-Mails erreichen die 
unternehmenseigene IT-Infra- 
struktur erst gar nicht. 


Alle Anbieter versprechen eine 
einfache Konfiguration durch 
eine Änderung des Mailserver- 
Eintrags im Domain Name Sys- 
tem (DNS). Eleven spricht zum 
Beispiel von einer Konfiguration 
binnen zehn Minuten. Auch 
eine rechtskonforme Archivie- 
rung ist möglich. Darüber hin- 
aus verbessert sich die Qualität 
der Spam-Filterung durch eine 
Auslagerung, da der Dienstleis- 
ter eine wesentlich größere 
E-Mail-Menge zu Analysezwe- 
cken zur Verfügung hat und da- 
durch ganz andere Zusammen- 
hänge herstellen kann. 
„Managed Services, deren 
Flexibilität sowie die internet- 
weite Sicht bieten Vorteile, die 
einzelne Appliances nicht errei- 
chen können“, führte Alexander 
Peters von MessageLabs auf 
einem Konferenzvortrag aus. Er 
erwartet, dass sich der E-Mail- 
Security-Markt von reinen Soft- 


xl 


ware-Lösungen hin zu Managed 
Services entwickeln wird, wo- 
durch interne Lösungen „Marke 
Eigenbau“ künftig der Vergan- 
genheit angehören. 

Wichtig ist jedoch, dass 
jedes Unternehmen den für 
sich und seine Bedürfnisse 
passenden Dienstleister findet. 
Einen großen Stellenwert hat 
in diesem Zusammenhang die 
Definition (und Einhaltung) von 
Service Level Agreements, der 


Storage 


Dass die Unbeliebtheit von Da- 
tensicherung mit ihrer Vernach- 
lässigung korreliert, ist eine 
weithin bekannte Tatsache. 
Dennoch bleibt diese Erkennt- 
nis viel zu oft folgenlos — bis 
das sprichwörtliche Kind in den 


Networking 
Embedded Systems 
IT-Security 


nach der Meinung der Exper- 
ton Group oft nicht genügend 
Beachtung geschenkt wird. 
Die Folge sind Missverständ- 
nisse zwischen Dienstleister 
und Auftraggeber. 

Auch sollte das Unterneh- 
men vor dem Outsourcing das 
Gefahrenpotenzial bewerten 
und einschätzen, wie hoch die 
Abhängigkeit der Business-Pro- 
zesse von der IT-Infrastruktur 
ist. Welche Systeme müssen 
beispielsweise für das 
Aufrechterhalten der Produktion 
verfügbar sein? 

Und Security Policies, 
grundlegende Sicherheits- und 
Verhaltensrichtlinien, sollte es 
geben - hier besteht großer 
Nachholbedarf. Nur knapp 19 
Prozent der Unternehmen be- 
sitzen eine komplette Beschrei- 
bung, die anderen begnügen 
sich mit einer vagen schrift- 
lichen Aufzeichnung (26 %) 
oder informellen Regelungen 
(rund 25 %). Und die sind nur 
bei wenigen Mitarbeitern be- 
kannt: Nur 25 Prozent der on- 
line Befragten gaben an, dass 
wirklich alle Mitarbeiter die Si- 
cherheitsrichtlinien auch ken- 
nen. Das stellten die Autoren 
der bereits zitierten Studie IT 
Security 2007 fest. 

Outsourcing kann nur erfolg- 
reich sein, wenn ein Unterneh- 


Brunnen gefallen ist. Dabei 
haben sich die Anbieter von 
Backup-Software in den letzten 
Jahren wirklich Mühe gegeben, 
ihren Lösungen das Graue- 
Maus-Image zu nehmen. Es 
geht um Begrifflichkeiten wie 


men im Vorfeld geklärt hat, was 
der Dienstleister besser kann 
als die eigene IT. Geht es ledig- 
lich darum, nicht gelöste Pro- 
bleme an Dritte weiterzugeben, 
bekommt der Auftraggeber 
nach der Erfahrung von Exper- 
ton in 75 Prozent der Fälle die 
Probleme zurück, aber nicht die 
Lösungen. 

Darüber hinaus sollte ein 
Unternehmen auf einen ständi- 
gen Zugriff auf die Informatio- 
nen achten und genügend 
internes Know-how behalten, 
um überhaupt beurteilen zu 
können, inwieweit der Anbieter 
die vereinbarte Leistung er- 
bracht hat. 

Insgesamt gilt es, die Ba- 
lance zu halten zwischen sinn- 
vollem Outsourcing und Teil- 
Outsourcing, ohne in eine so 
kritische Abhängigkeit vom 
Dienstleister zu geraten, dass 
es kein Zurück im Rahmen 
eines „Insourcing“ mehr 
geben kann. In besagter Studie 
hatte nur knapp die Hälfte der 
bereits outsourcenden Unter- 
nehmen ihre Verträge so ge- 
staltet, dass sie im Zweifelsfall 
die Auftragsvergabe zurück- 
abwickeln können. 
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